VMware vCenter Server / Cloud Foundation の脆弱性:一刻を争う事態となっている

VMware Warns of Critical File Upload Vulnerability Affecting vCenter Server

2021/09/22 TheHackerNews — 火曜日に VMware は、vCenter Server および Cloud Foundation アプライアンスには19件の脆弱性が存在し、リモート攻撃者による悪用が生じると、システムの制御が乗っ取られる可能性があるという警告を速報扱いで公開した。その中でも、最も緊急性の高いものは、vCenter Server 6.7/7.0 の導入環境に影響を与える、Analytics サービスにおける任意のファイル・アップロード機能の脆弱性 (CVE-2021-22005) である。

同社は、「vCenter Server の Port 443 にネットワーク・アクセスが可能な脅威アクターは、この問題を悪用し、特別に細工されたファイルをアップロードすることで、vCenter Server 上でコードを実行する可能性がある。この脆弱性は、vCenter Server のコンフィグレーションにかかわらず、ネットワーク経由で vCenter Server に到達できるなら、誰でもアクセスすることが可能だ」と述べている。VMware は、この脆弱性に対する回避策を公開しているが、これは「更新プログラムが導入されるまでの一時的な解決策である」と注意を促している。

VMware がパッチを当てた欠陥リストは以下の通りである。

CVE-2021-22005 (CVSS : 9.8) – vCenter Server file upload
CVE-2021-21991 (CVSS : 8.8) – vCenter Server local privilege escalation
CVE-2021-22006 (CVSS : 8.3) – vCenter Server reverse proxy bypass
CVE-2021-22011 (CVSS : 8.1) – vCenter server unauthenticated API endpoint
CVE-2021-22015 (CVSS : 7.8) – vCenter Server improper privilege escalation
CVE-2021-22012 (CVSS : 7.5) – vCenter Server API information disclosure
CVE-2021-22013 (CVSS : 7.5) – vCenter Server file path traversal
CVE-2021-22016 (CVSS : 7.5) – vCenter Server reflected XSS
CVE-2021-22017 (CVSS : 7.3) – vCenter Server rhttpproxy bypass
CVE-2021-22014 (CVSS : 7.2) – vCenter Server authenticated code execution
CVE-2021-22018 (CVSS : 6.5) – vCenter Server file deletion vulnerability
CVE-2021-21992 (CVSS : 6.5) – vCenter Server XML parsing DoS
CVE-2021-22007 (CVSS : 5.5) – vCenter Server local information disclosure
CVE-2021-22019 (CVSS : 5.3) – vCenter Server denial of service
CVE-2021-22009 (CVSS : 5.3) – vCenter Server VAPI multiple DoS
CVE-2021-22010 (CVSS : 5.3) – vCenter Server VPXD denial of service
CVE-2021-22008 (CVSS : 5.3) – vCenter Server information disclosure
CVE-2021-22020 (CVSS : 5.0) – vCenter Server Analytics service DoS
CVE-2021-21993 (CVSS : 4.3) – vCenter Server SSRF

これらの欠陥の多くは、SolidLab LLC の George Noseevich と Sergey Gerasimov、Schneider Electric の Hynek Petrak、Pentera の Yuval Lazar、Malcrove の Osama Alaa により報告されている。

CVE-2021-22005 の影響は深刻であり、悪用法が公開されるのは時間の問題である。ランサムウェアの脅威が迫っている昨今、最も安全なスタンスは、攻撃者がフィッシングやスピアフィッシングなどの手法を用いて、すでにデスクトップやユーザー・アカウントを制御している可能性があると想定し、それに応じた行動をとることだ。すでに攻撃者は、企業のファイアウォール内から vCenter Server に到達できている可能性があることを意味しており、一刻を争う事態となっている。

これは、かなり深刻な様子ですね。vCenter Server は、サーバ管理ソフトウェアであり、ハイブリッド・クラウド環境全体を可視化できる、と説明されています。もし、ここが乗っ取られると、攻撃者にすべてを可視化されることになります。一連の脆弱性を、早急に確認して、ご対応ください。

%d bloggers like this: